数据库安全管理规范

 —1—人力资源社会保障数据中心数据库安全管理规范(试行)（征求意见稿）第一章总则第一条【目的】为保障人力资源社会保障应用系统数据库（以下简称数据库）安全，保障数据的保密性、完整性、可用性，规范操作和管理行为，降低数据安全风险，实现人力资源社会保障数据中心安全管理，制定本规范。第二条【适用范围】本规范适用于各级人力资源社会保障非涉密应用系统的数据库管理，涉密应用系统的数据库应按照国家保密部门的相关规定和标准进行管理。第三条【定义】本规范所称的数据库，是指人力资源社会保障应用系统处理和服务所依托的集中存储数据的各类数据库系统（含与数据库、数据仓库相关的，以数据库之外形式保管的数据）。第四条【原则】数据库的安全管理和技术保障措施，应与支撑其安全稳定运行的应用系统安全保护等级相对应。第二章岗位职责第五条【负责单位】人力资源社会保障信息化综合管理机构（以下简称信息部门）负责应用系统数据库的安全管理，保证 —2—数据库安全稳定运行。第六条【岗位设置】数据库安全运行维护管理岗位包括数据库管理员、数据库安全员和数据库审计员，由信息部门人员承担。第七条【权责分离】数据库管理员不得同时兼任其他两岗。核心应用系统的数据库安全员应配备专职人员，与其他两岗分离。核心应用系统的数据库管理员和数据库审计员均应分别由多人共同管理1。第八条【数据库管理员职责】数据库管理员负责数据库配置、账户、监控、备份、日志等数据库全生命周期的运行维护管理，主要职责包括：（一）配置管理：负责数据库的安装（升级、卸载）、服务启停、数据空间管理、数据迁移、版本控制，通过对数据库进行合理配置、测试、调整，最大限度发挥数据库资源优势。（二）账户管理：建立、删除、修改数据库账户。在数据库安全员授权下，对数据库的账户及其口令进行变更。（三）运行监控：定期监测数据库运行状况，及时处理解决运行过程中的问题，负责数据库调优，定期编制数据库运行报告。（四）数据备份管理：定期对数据进行备份和恢复测试。（五）日志管理：负责数据库日志的设置、检查和分析（如数据库故障事件记录情况、数据库资源增长超限情况、违规使用                                                             1《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239‐2008 7.2.2.2）：人员配备：a) 应配备一定数量的系统管理员、网络管理员、安全管理员等；b) 应配备专职安全管理员，不可兼任；c) 关键事务岗位应配备多人共同管理。  —3—应用系统账户、大量数据库登录失败、大量无效SQL语句等）。及时向数据库安全员报告潜在的安全事件和问题。（六）配合应用系统管理员和网络管理员的日常工作。第九条【数据库安全员职责】数据库安全员负责制定数据库安全策略，进行日常安全巡查、日志分析和权限管理，主要职责包括：（一）日常安全检查：定期查看数据库配置，检查数据库常见的安全问题，如账户权限过大、口令过旧等，并将安全问题提交相关部门和人员落实，负责检查处理结果。（二）设置安全策略：设置IP、时间、应用等访问权限，确定敏感数据和数据访问策略（如使用默认账户、使用默认口令、数据库对象可被所有账户访问等）。（三）账户授权：对数据库管理员创建的数据库账户2，进行访问授权。（四）日志分析：对数据库相关安全审计功能或系统进行日志设置、检查和分析，负责检查分析违规安全事件和行为。（五）安全培训：组织数据库的安全培训。第十条【数据库审计员职责】数据库审计员负责对数据库管理员、数据库安全员的操作行为进行审计、跟踪、分析和监督检查，及时发现违规行为和异常行为，进行数据库日志和审计日志分析、安全事件的分析和取证。主要职责包括：                                                             2 账户、帐户在国标中均有使用，此处使用账户。账户在《信息安全技术 数据库管理系统安全技术要求》（GB/T 20273‐2006）中有使用；帐户在《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239‐2008）中有使用。  —4—（一）变更审核：对数据库管理员、数据库安全员制定和更改数据库的安全策略、账户权限以及参数设置等进行审核和监督，定期检查操作记录。（二）日志审计：对数据库管理员、数据库安全员的认证登录审计（包括登录时间、登录失败次数、登录的IP地址等），对数据库的关键配置变更审计（包括增/删账户和授权，数据库的删除、复制、卸载，数据库存储过程、触发器等对象的增加、编辑和删除等）并定期（如1个月）形成安全审计报告。（三）日志管理：对审计后的日志进行定期清除或移出。第十一条【保密要求】数据库管理员、数据库安全员、数据库审计员应签署保密协议。第三章数据库运行维护管理第十二条【安全防护机制】建立和充分运用符合数据库保护等级要求的身份鉴别、访问控制、数据保护、安全审计等安全防护机制。采用满足业务需求的最小安装配置和最细粒度的安全控制策略。第十三条【日常巡检】应每天或每周对数据库运行状态进行日常巡检。巡检的主要内容包括：（一）检查数据库网络连通与否，查看监听器（listener）状态、数据库连接池使用情况等；检查数据库实例状态以及所有与数据库相关的后台进程是否正常、日志记录是否正常、告警文件有无异常；检查存储空间的使用情况，重点关注使用量增长较 —5—快的表空间情况，如果剩余的存储空间不足一定比例，需要清理不用的文件或扩充存储空间；检查数据备份是否正常；检查数据库日志是否正常、完备。（二）日常巡检中发现的问题要及时处理，重大问题要及时报告。（三）建立数据库运行维护监控系统，提供自动巡检、情况记录、问题报警等功能，实现部分或全部的数据库日常巡检工作。第十四条【定期维护】按月或季度对数据库配置进行可用性、可靠性、安全性和性能方面的检查和策略调整。主要内容包括：（一）收集数据库的性能统计数据，分析数据库运行资源消耗的趋势，并视情况进行改善。（二）检查数据存储空间碎片情况，必要时加以调整。（三）检查数据库日常巡检工作的执行情况并及时纠正，如：账户、数据存储空间增删改的记录是否齐全，备份记录、维护记录是否齐全等。第十五条【访问要求】严格控制操作和访问数据库的路径，访问控制要求如下3：（一）正常的业务操作和数据维护，只能通过应用系统访问数据库。（二）数据库管理员、数据库安全员、数据库审计员连接数                                                             3《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239‐2008 7.2.3.5）三级‐‐‐外部人员访问管理：“a) 应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案； b) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。”  —6—据库的专用终端，应限制数量，并集中部署在安全区域，便于访问控制和审计。（三）对可能从内部网络向外发起的连接资源（如调制解调器拨号接入互联网）实施严格控制，授权使用。严禁利用磁盘阵列或小型机提供的远程（拨号）方式进行非现场故障诊断和修复操作。第十六条【补丁升级】数据库补丁升级要求如下4：（一）跟踪数据库厂商发布的数据库补丁情况。安全漏洞补丁应及时安装，非安全类补丁可在应用系统升级时统筹考虑。（二）在数据库补丁安装、版本升级、配置变更前应做好数据备份和应急预案，并会同应用系统管理员评估风险，确定无风险后方可实施操作。（三）数据库重大变更调整前，应先在测试环境下测试应用系统有效性，无问题后方可实施操作。第十七条【变更管理】数据库正式启用后，严禁随意变更修改系统配置，如确需变更，必须制定完备的操作方案、回退计划，进行充分的风险评估，并经审批通过后，方可实施。第十八条【禁止开库】严禁通过后台语句直接对数据库进行数据的增、删、查、改等操作。对于不符合正常业务规则的特                                                             4《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239‐2008 7.2.5.6）三级‐‐‐网络安全管理：“a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作； b) 应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定； c) 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份； d) 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补； e) 应实现设备的昀小服务配置，并对配置文件进行定期离线备份； f) 应保证所有与外部系统的连接均得到授权和批准；g) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入； h) 应定期检查违反规定拨号上网或其他违反网络安全策略的行为。”  —7—殊数据维护，确需直接访问数据库的，业务部门提出申请，信息部门受理，数据库安全员组织进行充分的风险评估，经领导审批后，由数据库管理员操作，并对处理过程形成工作记录。第十九条【做好工作记录】数据库的安全策略和措施、使用和维护情况应有书面记载，并可供检查。数据库管理员应在数据库安装、启动、升级、配置变更、日常巡检、故障处理、账户管理、备份恢复等运行维护工作中做好工作记录，包括操作时间、人员、事件内容、配置参数调整信息等。第二十条【资产管理5】对数据库软件、文档和许可证进行登记（包括软件的名称和版本、许可证类型和数量、介质的编号和数量、软件安装序列号、资料名称和数量等），并设专人保管。软件和资料的借用应有审批和借还登记手续。第二十一条【日志管理】数据库日志包括警报日志、跟踪日志、重做日志（在线重做日志和归档重做日志）。日志管理工作包括：（一）合理分配日志存储空间。（二）保持数据库日志功能的常态开启。当大批量数据导入等特殊操作需临时关闭归档重做日志功能的，经批准后方可操                                                             5《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239‐2008 7.2.5.3）三级‐‐‐介质管理：“a) 应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定； b) 应确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理； c) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，对介质归档和查询等进行登记记录，并根据存档介质的目录清单定期盘点； d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理，对带出工作环境的存储介质进行内容加密和监控管理，对送出维修或销毁的介质应首先清除介质中的敏感数据，对保密性较高的存储介质未经批准不得自行销毁；e) 应根据数据备份的需要对某些介质实行异地存储，存储地的环境要求和管理方法应与本地相同； f) 应对重要介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理。”  —8—作，并在相关工作完成后，立即恢复归档重做日志功能。（三）审计后的日志，在保留半年后可清除或移出。（四）应对数据库日志访问权限做出控制，只有数据库管理员账户和数据库审计员账户可访问日志信息。第二十二条【审计管理】应定期基于数据库日志和审计日志进行数据库审计管理6，要求如下：（一）定期对数据库的访问、操作、警告、错误等各类情况进行审计，并基于审计结果发布审计报告。（二）审计发现的重大问题要及时向信息部门领导报告，同时按照事件处理流程执行。（三）审计出的各类问题由数据库管理员负责修改完善，问题的修改应限期完成，由数据库审计员核实修改情况。（四）可建立数据库安全审计系统，实现对数据库系统关键业务操作和违规数据操作